Jonathan Echeverría - Lo que tengo en la cabeza » seguridad informatica

El decálogo de la seguridad informática

Jonathan Echeverria — Thu, 16 Jun 2011 17:07:31 +0000

La empresa de seguridad informática ESET ha elaborado un decálogo con los consejos más importantes para proteger la información en el ambiente corporativo:

Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.

Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.

Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.

No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.

No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Fuente: DiarioTi

Foro para comentar el Mundial 2010

Jonathan Echeverria — Fri, 09 Apr 2010 17:26:04 +0000

Ya sabéis los que tenéis la desgracia de aguantarme día a día en persona, que sigo estando muy liado con mi fabuloso Máster de Seguridad.

Trabajar + estudiar + tocar + descansar + salir + comer + dormir = Infinito

Y esto es imposible porque los días duran alrededor de 24 horas, y las semanas tienen 7 días. Pero bueno hoy he sacado un huequito antes de irme a Funes para hablaros de Fútbol. Y es que no soy muy futbolero que digamos, pero me gustan los clásicos como el Madrid/Barça de éste sábado, y sobretodo me gustan los Mundiales. Y ya queda muy poco para que comience el Mundial de Sudáfrica y empiece a jugarse el mejor fútbol del mundo. Y es que lo que más me gusta de un mundial de fútbol es el enfrentamiento de las diferentes formas de ver, entender y jugar al fútbol: la elegancia, la fuerza, la táctica, la resistencia, la técnica individual…

Y qué mejor sitio para comentar todas nuestras opiniones sobre el mundial, que el foro que ha montado para ello un colega:
http://www.forosdefutbol.es/mundial/

Os invito a visitarlo, haceros un usuarios y a discutir sobre fútbol!!!!

El ciclo PDCA como sistema de gestión de la seguridad

Jonathan Echeverria — Thu, 28 Jan 2010 19:38:03 +0000

Hoy después de estos días de ausencias y de posts de humor y concienciación social, toca un poco de chapa de seguridad (pero poca porque me he pegado todo el día estudiando para el Máster y ya no me quedan muchas más ganas, así que lo voy a aplicar a la vida cotidiana, a los problemas que todos tenemos).

El ciclo PDCA es una estrategia que siguiéndola nos proporciona una continúa mejora de la calidad, puesto que es un sistema retroalimentado y que se tiene que repetir y repetir durante toda nuestra vida, porque siempre hay algo para mejorar y algo de lo que aprender. Y esto se resume muy bonito y muy claro en la siguiente imagen (obtenida de wikipedia.org):

Y su explicación es muy sencilla:

Plan: Planificar. Establecer los objetivos y procesos necesarios para obtener los resultados de acuerdo con el resultado esperado.
Do: Hacer. Implementar los nuevos procesos. Si es posible, en una pequeña escala, que ya tendremos tiempo de abarcar más.
Check: Verificar. Pasado un periodo de tiempo previsto de antemano (en la planificación), volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada. Documentar las conclusiones.
Act: Actuar. Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario. Aplicar nuevas mejoras, si se han detectado errores en el paso anterior. Documentar el proceso.

Y como es un sistema circular, una vez que hemos terminado el primer ciclo, volveríamos a comenzar planificando, haciendo, verificando….
Como veis los informáticos no somos tan raros, porque al fin y al cabo este sistema nos vale perfectamente para nuestra vida diaria, para resolver otros problemas, que pueden ser bastante más complejos que los de la seguridad informática.

Diario de Barcelona hackeado… o es una promoción???

Jonathan Echeverria — Wed, 30 Sep 2009 19:16:07 +0000

No, no es lo que parece. Este blog no se va a convertir en un blog pornográfico, ni erótico ni nada por el estilo. Pero es que desde hace unos días caí por casualidad en el diario de Barcelona buscando una noticia. Mi sorpresa fue que al entrar me encontre con fotografías de contenido erótico en la portada. Unos días después resulta que en el blog de Chema Alonso leí un comentario de que posiblemente lo habían hackeado.

Hoy vuelvo a la página para ver si lo habían solucionado y me encuentro este par de portadas:

Cuando ya empiezo a pensar que esto deja de ser un fallo de seguridad del periódico, he empezado a pensar que se trataba de una campaña de publicidad, o forma de promocionar el periódico. Para comprobarlo he buscado y en los comentarios del post de el informático en el lado del mal, está la respuesta: es una forma de promocionarlo y hay más periódicos de esta misma cadena que están siguiendo la misma técnica. Ejemplos de ello son http://www.diariodetorremolinos.com/ y http://www.diariomarbella.es/.

Al final no sé a dónde vamos a llegar con esto de la publicidad y las promociones, pero según dicen, estos periódicos han visto notablemente incrementadas el número de visitas…masculinas, supongo. ¿Qué os parece esta nueva forma de promoción? ¿Qué opinión os merece un periódico que para atraer a las visitas tiene que recurrir a contenidos eróticos?

Cómo localizar una dirección IP

Jonathan Echeverria — Sat, 04 Jul 2009 08:00:49 +0000

En muchas ocasiones, los que nos dedicamos a temas de seguridad, y los que tenemos un blog, o administramos alguna web, nos vemos en la “necesidad” de localizar una dirección IP, para saber desde que parte del mundo nos están tocando las pelotas, y tratando de hacernos el mal.

Existen varias herramientas por internet que nos permiten localizar IPs, unas con más acierto que otras. Yo tras utilizar varias de ellas, y realizar búsquedas de diferentes direcciones IP, que se dónde se encuentran, os recomiendo la siguiente herramienta para localizar direcciones IP:
http://www.ip-adress.com/ip_tracer/

Os invito a probarla, y veréis que casi nunca falla.

Proyecto: sistema de teletrabajo

Jonathan Echeverria — Fri, 19 Jun 2009 06:01:15 +0000

En el máster de seguridad tengo que realizar un proyecto fin de postgrado. He pensado que como puede resultar interesante, a mediad que vaya avanzando iré publicando aquí las configuraciones y decisiones que tome. Así el que lo desee podrá utilizar esta información para implementar su propia oficina.

De momento os presento el enunciado del proyecto, para que veáis que sistema vamos a montar:

Trabajáis en una empresa que desea mejorar la conciliación de la vida laboral y la vida familiar y apuesta por la realización de teletrabajo dos días a la semana. En la actualidad nuestra empresa dispone de una única oficina con los siguientes servicios y características :

Correo electrónico mediante Postfix y Cyrus.

Intranet para documentación y gestión empresarial mediante un desarrollo propio sobre IIS.

Ficheros y impresoras compartidas mediante Windows Server 2003.

Las estaciones de trabajo son en su mayoría sistemas operativos Windows y desea que se pueda acceder a todos esos servicios des de cualquier ubicación, permitiendo a sus empleados desarrollar su trabajo tanto desde su casa como desde la oficina.

El proyecto a llevar a cabo es el siguiente:

Diseñar las modificaciones necesarias para que esos servicios sean accesibles des de cualquier lugar teniendo en cuenta los aspectos de seguridad aprendidos durante el curso, como por ejemplo:
1. Modificaciones en la administración de servidores debidos al nuevo diseño.
2. Aspectos de seguridad pasiva: nuevo hardware, copias de seguridad, planes de
contingencia.
3. Aspectos de seguridad activa: autenticación, VPN, certificados, monitorización, etc.
4. Modificaciones en la configuración de los servicios actuales (primando la seguridad).

Definir los requisitos de puesto de trabajo necesarios para poder teletrabajar y diseñar un sistema que permita asegurar el estado óptimo del mismo garantizando la seguridad en el acceso.

Diseñar el nuevo sistema de mensajería instantánea y/o telefonía que la empresa quiere poner a disposición de todos sus empleados para controlar su presencia (conectado, disponible,ocupado, etc.) y mejorar la comunicación entre ellos.

Valoración de costes aproximada de todo el proyecto.

Es importante que razone y justifique sus propuestas y focalice siempre en primar la seguridad por encima de todo.

El tiempo disponible, es inversamente proporcional al tiempo necesitado

Jonathan Echeverria — Tue, 16 Jun 2009 19:00:27 +0000

Pues eso, que contra más tiempo necesita uno para hacer algo, menos tiempo tiene. Como habéis podido comprobar llevo más de una semana sin poder publicar un post. Y no ha sido por otro motivo que por no tener 15 minutos de tiempo libre para poder escribir una nueva entrada.

Ya os comenté que iba a tener una semana de lo más entretenida, y así fue. Toda la semana dedicada a realizar la práctica final del Máster de seguridad, cuya entrega era el domingo. El sábado viajé a Zaragoza a hacer una visitica, y la vuelta resultó accidentada por un pinchazo en la rueda trasera en plena AP-68. En fin, anécdotas que uno tiene.

Y el Domingo se celebraba el Corpus Christi, así que había que acompañar al primico, y luego realizar una sesión fotográfica en toda regla (más de 300 fotos). La tardé estuvo marcada por una intensa sesión de dedicación al Máster.

En fin, esperemos que en los próximos días tenga algo más de tiempo, y que pueda contaros unas cuantas cosas interesantes que tengo en el tintero, como por ejemplo la inauguración de una nueva web de una Fanfarre, o la renovación de masjoven.org y un montón de historias más.

Fuera de juego hasta el domingo

Jonathan Echeverria — Tue, 26 May 2009 19:20:33 +0000

En los próximos días, aquí el que os habla, va a estar fuera de juego por varios motivos. Mañana es la final de la Champions, y aunque a mi no me gusta mucho el fútbol pues eventos de este tipo suelo ver siempre: finales de champions, eurocopas, mundiales…. Por cierto, este fin de semana también se decide si Osasuna aguanta una temporada más en primera división, o si volverá a caer de nuevo en 2ª….

El domingo tengo que realizar una entrega del máster que estoy cursando y tengo que dedicarle bastantes horas, con lo que no me quedará mucho más tiempo para escribir, ya que jueves, viernes y sábado los dedicaré de lleno a realizar esta prueba.

Además de esto quiero realizar un par de diseños para exponentcms. Por un lado uno para una txaranga de Portugalete, y por otro quiero renovar el diseño de masjoven.org para pasarlo a divs, y mejorar todo mi trabajo SEO. Os mantendré informados.

Volviendo a la normalidad

Jonathan Echeverria — Mon, 18 May 2009 20:33:03 +0000

Estos días han sido unos días raros, revueltos, poco habituales. El último post que escribí os hablaba de que me habían hackeado el servidor, y por ello algunos pudisteis ver alguna de mis páginas web modificadas con un fondo negro y una bandera de Turquía. Finalmente descubrí la vulnerabilidad y cómo habían conseguido acceder al servidor. Como siempre la empresa que me da el hosting se lava las manos y dice que es problema mío, cuando resulta que han conseguido escribir en un directorio con el usuario de apache, y por tanto es problema del servidor que permite escrituras remotas. En fin, ya he atajado el problema por mi cuenta, y he solucionado todo esto con una política de permisos más restrictiva y utilizando un .htaccess que no permite la ejecución de php en determinados directorios. De esta forma ya no han podido acceder más al servidor, aunque se (por los logs de peticiones http) que lo han intentado varias veces más.

En estas circunstancias llegó el miércoles por la tarde, y yo tenía fiesta jueves y viernes para descansar, tocar en la txaranga y celebrar las fiestas de San Isidro. Han sido 4 días intensos, con muchas horas de juerga, con muchas horas durmiendo, y los raticos habituales tocando en las vacas. Aún así como veis he modificado el estilo de mi blog, y un momentico que tuve preparé este nuevo tema y lo adapté a mi blog, a mi estilo y mi gusto. ¿Os gusta? Se admiten todo tipo de comentarios, menos los de spam claro, jeje.

Por otro lado el sábado se celebró en Funes el primer campeonato de Goitiberas, y la cantidad de fotos que tomé fue exagerada. En cuanto haga una selección de las mejores, las subiré a un nuevo álbum para que las podáis ver todos. Así que os invito a visitarme frecuentemente que en cualquier momento publicaré todo, y además ahora este nuevo estilo es más bonito y más divertido

Servidor Hackeado

Jonathan Echeverria — Tue, 12 May 2009 21:31:12 +0000

Este cambio de look de mi blog no ha sido premeditado, ni es que me guste este estilo más que el anterior. Lo que sucede es que ayer a las 15:30 horas hackearon mi servidor, y por ello este blog ha estado fuera de juego hasta hoy.

Estoy corrigiendo el tema, y en cuanto lo tenga listo lo volveré a poner, y dejar el blog en su estado original. Por otra parte, aprovechando el trágico suceso estoy barajando la posibilidad de realizar un cambio completo del tema y pasar a uno más dinámico y actual. En cualquier caso, esto ya será a la vuelta de mis mini-vacaciones de San Isidro.

Jonathan Echeverría - Lo que tengo en la cabeza » seguridad informatica

El decálogo de la seguridad informática

Artículos relacionados:

Foro para comentar el Mundial 2010

Artículos relacionados:

El ciclo PDCA como sistema de gestión de la seguridad

Artículos relacionados:

Diario de Barcelona hackeado… o es una promoción???

Artículos relacionados:

Cómo localizar una dirección IP

Artículos relacionados:

Proyecto: sistema de teletrabajo

Artículos relacionados:

El tiempo disponible, es inversamente proporcional al tiempo necesitado

Artículos relacionados:

Fuera de juego hasta el domingo

Artículos relacionados:

Volviendo a la normalidad

Artículos relacionados:

Servidor Hackeado

Artículos relacionados: